Milan Kyselica je mladý etický hacker, ktorý pracoval pre štát, hľadal zraniteľnosti u Apple, ale aj veľkých slovenských firmách a porozprával nám, na čo si dnes na internete treba dávať najväčší pozor.
Keby si sa dnes chcel frajerke nabúrať do Facebooku, aby si zistil, či pred tebou niečo neskrýva, nebolo by to vôbec ťažké. Je to však najmä o vzájomnej dôvere, upozorňuje etický hacker Milan Kyselica, ktorého sme mali príležitosť vyspovedať.
Milan vo svojom mladom veku zvíťazil na prestížnej súťaži takýchto etických hackerov , čo mu vynieslo viacero pracovných ponúk, ale aj náhlu popularitu.
Momentálne pracuje pre americkú firmu, kde sa venuje najmä penetračného testovaniu na zákazku od menších aj väčších klientov, ale má za sebou pôsobenie v tíme, ktorý bráni kybernetickú bezpečnosť Slovenska či identifikovanie zraniteľnosti u spoločnosti Apple.
Nám vysvetlil, ako je možné, že za niekoľkomesačné úsilie v hľadaní chyby u Apple nedostal zaplatený ani jediný cent, ale u firiem na Slovensku si etický hacker môže zarobiť tisícky eur. Upozornil aj na to, že prelepovať webkameru na notebooku si nemusíš, ak celý deň stráviš s mobilom v ruke usmievaním sa do prednej kamery.
- Či dnes môžeš dostať vírus len tým, že klikneš na nejakú webovú stránku
- Prečo za identifikovanie chyby u Apple nedostal od firmy zaplatený ani cent
- Koľko si už za nájdenie chyby zarobil od slovenských firiem ako Telekom či Eset
- Prečo kryptomenové firmy na Slovensku len točia peniaze na ľuďoch
- Či je náročné nabúrať sa frajerke alebo frajerovi do Facebooku
- Prečo je dnes nezmyselné prelepovať si webkameru na notebooku
- Ako ťa môže tvoja kamera na mobile nahrávať bez tvojho vedomia
- Či je bezpečné používať TikTok
Na sociálnych sieťach sa šíria konšpirácie o tom, že nás chcú sledovať cez čipy vo vakcínach. Uvedomujú si Slováci, že vďaka smartfónu vo vrecku o nich spoločnosti dnes vedia takmer všetko, čo potrebujú?
Občas ma naozaj v začiatkoch Google Play či App Store zarazilo, aké všetky povolenia si aplikácie žiadali. Časom sa to ale človek naučí rozoznávať. Je pravdou, že množstvo ľudí si naozaj neuvedomuje, a ani netuší, že keď sťahujú nejaké aplikácie, napríklad baterka (torch) do svojho mobilu, tak si zrazu vyžaduje prístup pokojne až ku kontaktom, čo je zbytočne rizikové.
Z môjho pohľadu je vytvoriť takúto aplikáciu veľmi jednoduché, ale ľudia si nedávajú pozor a sťahujú prvé, čo uvidia vo výsledkoch hľadania. Buď si riziko neuvedomujú, alebo im je to jedno. Neriadia sa tým, koľko stiahnutí aplikácia v obchode má, alebo koľko hviezdičiek od užívateľov dostala. Samozrejme aj hodnotenie a recenzie môžu byť falošné, avšak je rozdiel stiahnuť aplikáciu, ktorá má menej ako 1000 stiahnutí a aplikáciu, ktorá má viac ako 10 miliónov stiahnutí.
Etickí hackeri vraj často testujú sociálne inžinierstvo. Zamestnancom bánk skúšajú posielať podvodné maily, či sa tak nabúrajú do interného systému. Ak si predstavíš, že okolo 20% Slovákov verí, že vakcíny budú obsahovať čipy, sme pre hackerov ľahšia korisť?
Nemám k dispozícii takúto štatistiku. Je to citlivá téma, pretože niektorí ľudia síce sú naivní a tým pádom aj pomerne zraniteľní, a tak ti na pokus o phishing budú klikať a odovzdávať ti svoje dáta, ale musíš dopredu vedieť, aký výsledok od toho očakávaš.
Ak teraz niekto spraví kampaň na tému čipovania vo vakcínach, čo bude jej cieľom? Získanie prístupu na zariadenie – počítač cez kliknutie na link? Zrejme od ľudí budeš vedieť získať dáta, tomu verím, lebo sú ľahko manipulovateľní, ale každá takáto kampaň zrejme musí mať svoj vopred stanovený cieľ.
Kedysi sa hovorilo, aby človek nechodil na podozrivé stránky, lebo po kliknutí môže dostať vírus. Funguje to takto jednoducho aj dnes?
Ak sa bavíme o tom, či len čisto klikneš na link a ideš na stránku, tak to môže platiť aj dnes, ale najmä vtedy, ak používaš nejaký zastaralý prehliadač alebo doplnok, povedzme zastaralú verziu Internet Explorer. V tomto prípade to môže platiť.
Iná taktika útočníka môže byť jednoduchšia s použitím sociálneho inžinierstva. Aplikácia používateľa vyláka, aby stiahol škodlivý súbor, spustil ho a vypýta si prihlasovacie údaje. Môže napríklad chcieť, aby si povolil prístup k mikrofónu.
Ako mladý etický hacker si len pred pár mesiacmi vyhral súťaž EY Cyber Security Trophy. Otvorilo ti to nové možnosti?
Hneď ako som vyhral, tak mi prišla ponuka od jedného človeka, ktorý na tej súťaži bol. Jedna firma mi poskytla možnosť pre nich pracovať a celkovo mi prišlo zopár v pohode ponúk zo Slovenska a Česka, ale ja som si vybral inú možnosť. Skôr ako pracovné ponuky mi víťazstvo poskytlo kontakty. Teraz bližšie poznám ľudí, ktorí tam boli, napríklad z Esetu alebo iných firiem.
Momentálne pracuješ pre firmu LIFARS. Dokázal by sa však etický hacker uživiť, keby pracoval individuálne na voľnej nohe?
Dá sa to a dokonca poznám takých ľudí, ktorí pracujú na voľnej nohe, ale treba rozlišovať. Etický hacker – penetračný tester, takýto človek musí mať striktne nastavené pravidlá, keď sa chce živiť sám.
Povedzme, že sa na to pozerám takto. Môžeš ako freelancer urobiť penetračný test pre nejakú menšiu firmu, ale dá ti banka urobiť interný penetračný test, keď si sám bez tímu a máš 22 rokov? Nedá, chýbajú ti skúsenosti, nemôžeš byť expert v každej oblasti a nemáš také meno ako nejaká lepšia firma.
Dá ho urobiť firme, v ktorej si zamestnaný? Určite skôr. Každopádne, robiť na voľnej nohe je ťažšie, ale poznám ľudí, ktorí sa tak živia, lebo je to pre nich lepšie z časovej perspektívy alebo možnosti výberu konkrétnej zákazky. Z dlhodobého hľadiska podľa mňa však strácaš, lebo nemáš tréningy & certifikácie a team ktorý ťa vie posunúť ďalej.
Zrejme si spomínaš na hackera menom Igigi, ktorý sa preslávil útokom na Azet a Pokec. Máme na Slovensku nejaké svetové kapacity vo svete hackingu, o ktorých verejnosť ani netuší?
Pravdepodobne dosť ľudom v hackerskej komunite na Slovensku to meno niečo hovorí. Myslím si, že odhliadnuc od black hat hackerov tu máme v oblasti kybernetickej bezpečnosti pár ľudí na vysokej úrovni, ktorí majú dobré meno aj v zahraničí.
Vo svojej kariére si už našiel viacero chýb a zraniteľností priamo v slovenskej vláde.
Áno. Ja som sa vtedy v podstate orientoval na hľadanie webových chýb a zraniteľností. Nechcem síce špecifikovať ten typ chyby, ktorý som na stránkach našiel, aj keď nehovorím, že by ho bolo možné stále použiť a viem, že tieto zraniteľnosti opravili, ale vždy sa nájde niekto, kto by to mohol zopakovať.
Chybu som nahlásil cez CSIRT.sk a od nich prišla promptná odpoveď. Zareagovali dosť skoro a za deň-dva bola chyba opravená. Avšak, keď som skúšal komunikovať priamo s kontaktom uvedeným na webe, tak vôbec nereagovali. Slovensko má viacero takýchto jednotiek ako CSIRT, ktoré sa zaoberajú incidentmi kybernetickej bezpečnosti.
Internet miluje príbehy o hackeroch, ktorí u Google našli chybu a dostali za to desiatky tisíc dolárov ako odmenu. Našiel si vo veľkej firmy zraniteľnosť už aj ty?
Čo sa dozvieš po odomknutí?
- Prečo za identifikovanie chyby u Apple nedostal od firmy zaplatený ani cent
- Koľko si už za nájdenie chyby zarobil od slovenských firiem ako Telekom či Eset
- Ako sa mu podarilo odhaliť zraniteľnosť priamo na webe Refresheru
- Prečo kryptomenové firmy na Slovensku len točia peniaze na ľuďoch
- Ako spravia peniaze z etického hackera človeka, ktorý pácha trestnú činnosť
- Či je náročné nabúrať sa frajerke alebo frajerovi do Facebooku
- Prečo je dnes nezmyselné prelepovať si webkameru na notebooku
- Ako ťa môže tvoja kamera na mobile nahrávať bez tvojho vedomia
- Či je bezpečné používať TikTok a zariadenia od Huawei
- Ako tvoj mobil možno uprostred noci v nabíjačke odosiela dáta útočníkom